Puerto Seguro: Del Safe Harbor al Privacy Shield

Parece que por fin empieza a verse la luz al final del túnel.

La Comisión Europea ha publicado una nota informativa sobre los avances en las negociaciones con los Estados Unidos en relación al marco de Puerto Seguro, confirmando que se ha llegado a un acuerdo para trabajar en un nuevo marco que permita los flujos de datos personales entre empresas europeas y estadounidenses: US-EU Privacy Shield.

¿Esto significa que ya podemos seguir utilizando libremente Mailchimp, Dropbox, Google, etc?

La respuesta es tajante: No.

Lo que significa es que se están dando los pasos para solucionar el problema, aunque con bastante retraso, ya que el plazo concedido por las autoridades europeas de protección de datos expiró el pasado 29 de enero, y todas las empresas afectadas por esta incidencia ya deberían haber solucionado sus transferencias internacionales de una de estas formas:

• Migrar a servicios de tratamiento de datos personales ubicados en Europa.
• Obtener el consentimiento de los afectados para mantener el tratamiento de sus datos en USA.
• Obtener autorización de su autoridad nacional de protección de datos (AEPD en España); no obstante, resulta llamativo que, en la fecha de publicación de este artículo, la AEPD no haya publicado NI UNA SOLA resolución de autorización de transferencias internacionales en su página web, cuando el ritmo de autorizaciones hasta que se anuló Puerto Seguro era de unas 10 al mes (desconocemos si se han producido autorizaciones que no se hayan publicado).
• O, para los flujos de datos personales dentro de grupos de empresas multinacionales, registrar unas Normas Corporativas Vinculantes (BCR por sus siglas en inglés) ante alguna de las autoridades europeas de protección de datos (aunque, hasta la fecha, la AEPD nunca ha realizado este trámite).

 Entonces, ¿cuáles son los próximos pasos?

Por el momento, sólo queda esperar a que se acelere la solución de este problema y se sigan los próximos pasos:

1. La Comisión Europea deberá preparar un borrador de Decisión del Privacy Shield, un marco de trabajo que, si todo va bien, se convertirá en el “heredero” de Safe Harbor.
2. Este borrador será examinado por las autoridades europeas de protección de datos antes de ser aprobado.
3. Con el OK de las autoridades de protección de datos, y una vez aprobada la Decisión de la Comisión, es de suponer que las empresas estadounidenses que deseen adherirse al Privacy Shield, deberán llevar a cabo los trámites pertinentes que recoja el nuevo marco. Además, se espera que estos trámites no sean tan estáticos como en el caso de Safe Harbor, sino que deban hacerse actualizaciones y revisiones más frecuentes, lo cual, aunque parezca positivo, también podría provocar cierta inseguridad jurídica a la hora de contratar estos servicios amparándose en este marco de trabajo.
4. A partir del momento en que se certifique el cumplimiento de estos trámites por las empresas estadounidenses que decidan adherirse al Privacy Shield, el uso de los servicios de dichas empresas para el tratamiento de datos personales por parte de empresas europeas no requerirá autorización de la Directora de la AEPD.

 ¿Y mientras qué hacemos?

Mientras no se cubran estos 4 pasos, la contratación de servicios de tratamiento de datos en USA, debe seguir contemplando una de las soluciones indicadas al inicio del artículo.

Y, teniendo en cuenta la complejidad de algunas de estas soluciones, siempre que sea viable, parece que lo más recomendable sería esperar.

De lo contrario, cabe la posibilidad de que se “llegue a la meta al mismo tiempo, pero con muchísimos más esfuerzos”.

¿Y si no llegase a solucionarse a corto-medio plazo?

Desconocemos si las ofrendas estadounidenses son consideradas suficientes por las autoridades europeas de protección de datos; no obstante, la AEPD ha publicado una nota al respecto, en la que vuelve a insistir, de forma algo enigmática, en que deben buscarse “soluciones sostenibles”.

Quizá esto sea un indicativo de que el acuerdo alcanzado por la Comisión Europea es insuficiente para las autoridades de protección de datos, o que aun siendo suficiente, el uso de este nuevo marco no dará tanta tranquilidad a las empresas europeas como en el caso de Puerto Seguro.

Si no llegase a solucionarse a corto-medio plazo, igualmente tendríamos que seguir escogiendo entre una de las 4 soluciones indicadas al inicio del artículo.

No obstante, debe tenerse en cuenta que el Reglamento Europeo de Protección de Datos será aprobado este año, y que, según los borradores, se prevé que amplíe su alcance a empresas ubicadas fuera de la Unión Europea que traten datos de residentes en la UE para la prestación de determinados servicios.

Esto genera la siguiente duda que planteamos para su reflexión:

¿Puede una empresa estadounidense, sometida al cumplimiento del futuro Reglamento General de Protección de Datos, ser considerada como un destino “inseguro” a efectos de protección de datos que requiera autorización de la autoridad nacional?

En resumen, es una buena noticia para las empresas europeas, pero llega con mucho retraso, y pillará a la mayoría de empresas europeas con el pie cambiado, ya que todas ellas deberían haber solucionado el problema antes del 29 de enero.

No obstante, puede ser una salida más para nuevas contrataciones de servicios de tratamiento de datos que deseen realizarse a corto o medio plazo con empresas ubicadas en Estados Unidos, pero a la vista de lo vivido en los últimos meses, quizá no sea la mejor opción.

Loreto Jiménez Muñoz

José Carlos Moratilla

Áudea Seguridad de la Información, S.L.